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(57) Abstract 

The invention concerns a countermeasure method in an electronic component using a secret key K cryptographic algorithm with 
sixteen computing cycles to supply an encrypted message (C) from an input message (M), each cycle using first means TCo to supply an 
output information from an input information, Said method consists in applying by selection a sequence with the first means or another 
sequence with other means TCi, TC2 to a group Gl comprising the first three cycles at least and another group G4 comprising the last 
three cycles at least. Whatever the sequence, the output result of the last cycle of each group is the same for the same input message (M). 
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(57) Abr6g£ 

Dans un composant Electron ique mettant en oeuvre un algorithme cryptographique a c\6 secrete (K) a seize tours de calcul pour 
fournir un message chiffr6 (C) a partir d'un message d'entr6e (M), chaque tour utilisant des premiers moyens TCo pour fournir une donnee 
de sortie a partir d'une donnee d'entree, on applique au choix une sequence avec les premiers moyens ou une autre s6quence avec d'autres 
moyens TCi, TC2 a un groupe Gl comprenant les trois premiers tours au moins et un autre groupe G4 comprenant les trois derniers tours 
au moins. Quelle que soil la sequence, le r^sultat en sortie du dernier tour de chaque groupe est le meme pour un meme message d' en tree » 
(M). 
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PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHMS DE 
CRYPTOGRAPHIE A CLE SECRETE 



La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications ou 1'acces a 
5 des services ou a des donnees est severement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une memoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 

10 cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 

15 le passage de peages d'autoroutes. 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) * D'autres 

20 algorithmes a cle secrete existent, comme 1' algorithme 
RC5 ou encore 1'algorithme COMP128 . Cette liste n'est 
bien sur pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 

25 partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire. . . ) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d' authentif ier le 

3 0 composant ou la carte, d'echanger des donnees... 
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Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques consistant en une 
analyse dif f erentielle de consommation en courant et 
qui permettent a des tiers mal intentionnes de trouver 
5 la cle secrete. Ces attaques sont appelees attaques 

DPA, acronyme anglo-saxon pour Differential Power 
Analysis . 

Le principe de ces attaques DP A repose sur le fait 
que la consommation en courant du microprocesseur 
10 executant des instructions varie selon la donnee 
manipulee . 

Notamment, une instruction du microprocesseur 
manipulant un bit de donnee genere deux profils de 
courant differents selon que ce bit vaut "1" ou "0". 

15 Typiquement, si 1 ' instruction manipule un "0", on a a 
cet instant d' execution une premiere amplitude du 
courant consomme et si 1 ' instruction manipule un "1" , 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere. 

2 0 Les caracteristiques des algorithmes de 

cryptographie sont connues : calculs effectues, 
parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 

25 applique en entree et du message chiffre fourni en 
retour . 

Cependant, dans un algorithme de cryptographie, 
certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 

30 la cle secrete contenue dans la carte. D'autres donnees 

calculees dans 1' algorithme peuvent aussi etre 
recalculees seulement a partir du message chiffre 
• (generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 

35 dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 
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message d' entree ou de sortie, et d'un nombre limite de 
bits particuliers de la cle. 

Ainsi, a chaque bit d'une donnee particuliere , 
correspond une sous-cle formee par un groupe 
5 particulier de bits de la cle. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sont appeles dans la suite, bits cibles. 

L'idee de base de 1'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 

10 courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibility de calculer un bit cible 
par les instructions de l'algorithme a partir d'un 
message connu d' entree ou de sortie et d'une hypothese 
sur la sous-cle correspondante. 

15 Le principe de I'attaque DPA est done de tester une 

hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d' entree connu de l'attaquant, 
une fonction booleenne de selection, fonction de 

20 1' hypothese de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur n 0" ou " 1" 
que va prendre ce bit cible pour un message d' entree ou 

25 de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "1" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 

30 . regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxieme paquet regroupe les courbes 
qui ont vu la manipulation du bit cible a "1" selon 
1 'hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 

35 une courbe de consommation moyenne M0(t) pour le 



• 
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premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 

Si l'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 
courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "l". La courbe moyenne de consommation 
M0(t) du premier paquet aura alors une consommation 
moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracter istique de la manipulation du bit 
cible a "0" (profil Q ) . En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1" , sauf le bit 
cible qui a toujours eu la valeur "0" . Ce qui peut 
s'ecrire : 

MO(t)=[(profil 0 +profil 1 ) /2] trtci + [profil 0 ] tci soit 
M0(t)=[Vm t ] t5ttci + [profil 0 ] tci 

ou tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

De meme, la courbe moyenne de consommation Ml(t) du 
deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracteristique de la manipulation du bit 
cible a "1" (prof • On peut ecrire : 
Ml(t)=[(profil 0 +profil 1 )/2] t ^ tci + [profil-J^ soit 
Ml(t)=[Vm t ] t ^ tci + [profilj^i 

On a vu que les deux profils profil Q et profi^ ne 
sont pas egaux. La difference des courbes M0(t) et 
Ml(t) donne alors un signal DPA(t) dont 1' amplitude est 
egale a prof il Q -prof il ± aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans l'exemple represente sur la 
figure 1, aux endroits tcO a tc6 et dont 1' amplitude 
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est a peu pres egale a zero en dehors des instants 
critiques . 

Si 1' hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statist iquement , il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
courbes ayant vu la manipulation du bit cible a "1" . La 
courbe moyenne resultante M0(t) se situe alors autour 
d'une valeur moyenne donnee par (prof il Q +prof il 1 ) /2=Vxn, 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
"0" que de valoir "1". 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont 1' amplitude se situe autour d'une valeur moyenne 
donnee par (prof il Q +prof il-^ /2=Vm- 

Le signal DPA(t) fourni par la difference M0(t)- 
Ml(t) est dans ce cas sensiblement egal a zero. Le 
signal DPA(t) dans le cas d'une hypothese de sous-cle 
f ausse est represents sur la figure 2. 

Ainsi l'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenrie pour 
une hypothese de sous-cle donnee. En effectuant une 
analyse dif f erentielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d ' information DPA(t). 

Le deroulement d'une attaque DPA consiste alors 
globalement : 

a- a tirer N messages aleatoires (par exemple N 
egal 1000) ; 

b- a faire executer 1'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
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de consommation en courant a chaque fois (mesuree sur 
la borne d ' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 
d- a predire, pour chacun des messages aleatoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d' entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
obtenir la fonction de selection booleenne; 

e - a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur "0" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous 1' hypothese de sous-cle) ; 

f- a calculer dans chaque paquet la courbe 
resultante de consommation moyenne en courant; 
15 g - a effectuer la difference de ces courbes 

moyennes, pour obtenir le signal DPA(t) . 

Si 1' hypothese sur la sous-cle est juste, la 
fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
20 courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 

25 "1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible). II suffit qu'il y 
30 ait au moins un instant critique dans la periode 
d' acquisition* 

On notera que l'attaquant n'a pas besoin de 
connaitre avec precision les instants critiques. 

Si l'hypothese de sous-cle n'est pas juste, le tri 
35 ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 
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realite a un bit cible a "0" que de courbes 
correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
figure 2) . II faut retourner a l'etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s'avere juste, on peut passer a 
1'evaluation d'autres sous-cles, jusqu'a avoir 
reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES , on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

La presente invention a pour but de mettre en 
oeuvre dans un composant electronique, un procede de 
contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou 1' hypothese de sous-cle est juste. 

De cette fa<?on, rien ne permet de distinguer le cas 
de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare contre les attaques 
DPA. 

Selon 1' invention, le procede de contre-mesure 
permet de rendre impredictibles les bits cibles, c'est 
a dire les donnees manipulees par des instructions 
critiques . 

En effet, du fait de la contre-mesure, pour chaque 
message applique en entree, un bit cible manipule par 
une instruction critique prend la valeur 0 ou 1 avec 
une egale probability, Dans chaque paquet de courbes 
que fera 1'attaquant sous une hypothese de sous-cle 
donnee, au moyen de la fonction de selection booleenne 
qu'il aura calculee, on aura autant de courbes ayant 
reellement manipule un . bit cible "0" que de courbes 
ayant reellement manipule un bit cible a "1". Le signal 
DPA(t) sera tou jours nul, que 1' hypothese de sous-cle 
soit juste ou non. 
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Dans 1' invention, on s'interesse plus 

particulierement a 1' algorithms de cryptographie DES. 

Un tel algorithme comprend seize tours de calcul 
identiques . 

Dans un tel algorithme, on a pu mettre en evidence 
que les donnees predictibles par un attaquant se 
situent au premier tour et au dernier tour, et que les 
instructions critiques au sens de 1'attaque DPA se 
situent dans les trois premiers tours et les trois 

derniers tours. 

Dans 1' invention, on a plus particulierement 
cherche un moyen de rendre impredictibles les donnees 
manipulees par ces instructions critiques des trois 
premiers et trois derniers tours, tout en obtenant le 
bon message chiffre en sortie. 

Un but de 1' invention est done de rendre 
impredictibles les donnees manipulees par les 
instructions critiques, tout en obtenant le bon 
resultat final (message chiffre C) . 

Une solution a ces differents problemes techniques 
a ete trouvee dans la formation d'un groupe (Gl) 
comprenant au moins les trois premiers tours et d'un 
autre groupe (G4) comprenant au moins les trois 
derniers tours, et dans 1 'utilisation dans ces groupes 
de moyens pour rendre impredictibles les donnees 
manipulees par les instructions critiques contenues 

dans ces tours. 

Selon 1' invention, les resultats en sortie de 

chaque groupe sont justes. 

Telle que caracter isee , 1' invention concerne done 
un precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete pour calculer un message 
chiffre a partir d'un message d' entree, la mise en 
oeuvre de 1' algorithme comprenant seize tours de 
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calcul, chaque tour utilisant des premiers moyens pour 
fournir une donnee de sortie a partir d'une donnee 
d' entree, la donnee de sortie et/ou des donnees 
derivees etant manipulees par des instructions 
critiques dans les trois premiers et les trois derniers 
tours. Selon 1' invention, on forme un groupe comprenant 
les trois premiers tours au moins et un autre groupe 
comprenant les trois derniers tours au moins, et on 
associe a chacun de ces groupes une premiere sequence 
utilisant les premiers moyens dans chaque tour et une 
deuxieme sequence utilisant d'autres moyens dans 
certains tours au moins, les dites premiere et deuxieme 
sequences etant telles qu'elles fournissent un meme 
resultat en sortie du dernier tour de chaque groupe 
15 pour un meme message d' entree donne, le choix de la 
sequence a executer dans les groupes concernes etant 
fonction d'une loi statistique de probability un demi, 
pour rendre impredictibles toutes les donnees 
manipulees par les dites instructions critiques. 
20 Dans un mode de realisation, on forme quatre 

groupes de quatre tours consecutifs chacun. 

Dans un autre mode de realisation, on forme deux 
groupes comprenant respectivement les trois premiers et 
les trois derniers tours. 

D'autres caracteristiques et avantages de 
1' invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que l'on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 

une attaque DPA; 

- les figures 3 et 4 sont des organigrammes 
representant les premiers tours et les derniers tours 

3 5 de l'algorithme DES; 
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- la figure 5 est un schema-bloc de 1' operation 
SBOX utilisee dans l'algorithme DES; 

- la figure 6 montre un exemple de table de 
constante elementaire a une entree et une sortie 
utilisee dans 1' operation SBOX; 

- la figure 7 represente un premier exemple 
d'organigramme d' execution du DES avec un procede de 
contre-mesure selon 1 ' invention; 

- la figure 8 est un organigramme des premiers 
tours du DES selon une deuxieme sequence du procede de 
contre-mesure selon le premier exemple represente a la 
figure 7; 

- Les figures 9 et 10 representent respectivement 
une deuxieme et une troisieme tables de constantes 
elementaires utilisees dans 1' invention; 

- la figure 11 represente un deuxieme exemple 
d'organigramme d' execution du DES avec un procede de 
contre mesure selon 1' invention; 

- les figures 12 et 13 sont des organigrammes des 
premiers tours de DES respectivement selon la deuxieme 
sequence et la premiere sequence du procede de contre- 
mesure selon le deuxieme exemple represente a la figure 
11; 

- les figures 14 et 15 sont des organigrammes 
relatifs a un troisieme mode d' application du procede 
de contre-mesure selon 1' invention; 

- la figure 16 represente une troisieme table de 
constantes elementaire utilisee dans ce quatrieme mode 
d' application de 1' invention; 

- la figure 17 represente un organigramme 
d' execution du DES selon une variante du troisieme mode 
d' application du procede de contre-mesure selon 

1' invention; et 

- la figure 18 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 
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dans lequel le procede de contre-mesure selon 
1' invention est mis en oeuvre. 

L'algorithme cryptographique a cle secrete DES 
(dans la suite on parlera plus simplement du DES ou de 
l'algorithme DES ) comporte 16 tours de calcul, notes Tl 
a T16, comme represents sur les figures 3 et 4 . 

Le DES debute par une permutation initiale IP sur 
le message d 7 entree M (figure 3). Le message d' entree M 
est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que 1'on coupe en deux pour former 
les parametres d'entree LO et RO du premier tour (Tl) . 
LO est un mot d de 32 bits contenant les 3 2 bits de 
poids forts du mot e. RO est un mot h de 3 2 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits . 

Ce mot 1 est combine a un parametre Kl , dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 4 8 bits. Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 

notee COMP PERM) • 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits, 
cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6 . 

Le mot a subit une permutation P PERM , donnant en 
sortie le mot c de 32 bits. 
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Ce mot c est combine au parametre d' entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
3 2 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1 ' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa<?on 
similaire, excepte en ce qui concerne 1' operation de 
decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+1. 

En fin d'algorithme DES (figure 4), le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L'operation SBOX est detaillee sur les figures 5 et 
6. Elle comprend une table de constantes TC Q pour 
fournir une donnee de sortie a en fonction d'une donnee 
d' entree b. 

En pratique, cette table de constantes TC Q se 
presente sous la forme de huit tables de constantes 
elementaires TC Q 1 a TC Q 8, chacune recevant en entree 
seulement 6 bits du mot b, pour fournir en sortie 
seulement 4 bits du mot a. 
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Ainsi, la table de constante elementaire 
representee sur la figure 6 regoit comme donnee 
d' entree, les bits bl a b6 du mot b et fournit comme 
donnee de sortie les bits al a a4 du mot a. 
5 En pratique ces huit tables de constantes 

elementaires TC Q 1 a TC Q 8 sont memorisees en memoire 
programme du composant electronique. 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
10 constante TC Q depend de seulement 6 bits de la donnee b 
appliquee en entree, c'est a dire de seulement 6 bits 
de la cle secrete K et du message d' entree (M) . 

Dans 1' operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
15 constante TC Q peut etre recalcule a partir de seulement 

6 bits de la cle secrete K et du message chif fre (C) - 

Or si on reprend le principe de 1'attaque DPA, si 
on choisit comme bit cible un bit de la donnee de 
sortie a, il suffit de faire une hypothese sur 6 bits 
20 de la cle K, pour predire la valeur d'un bit cible pour 
un message d' entree (M) ou de sortie (C) donne. En 
d'autres termes, pour le DES, il suffit de faire une 
hypothese sur une sous-cle de 6 bits. 

Dans une attaque DPA sur un tel algorithme pour un 
25 bit cible donne, on a done a discriminer une hypothese 
de sous-cle juste parmi 64 possibles, 

Ainsi, en prenant seulement huit bits du mot a 
comme bits cibles, (un bit de sortie par table de 
constantes elementaire TCqI a TC Q 8) , on peut decouvrir 
30 jusqu'a 6x8=48 bits de la cle secrete, en faisant des 

attaques DPA sur chacun de ces bits cibles. 

Dans le DES, on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. 
35 Au debut de 1' algorithme DES, les donnees qui 

peuvent etre predites a partir d'un message d' entree M 
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et d'une hypothese de sous-cle, sont les donnees a et g 
calculees dans le premier tour (Tl) . 

La donnee a du premier tour Tl (figure 3) est la 
donnee de sortie de 1' operation SBOX du tour considere. 
5 La donnee g est calculee a partir de la donnee a, par 
permutation (P PERM) et operation OU EXCLUSIF avec le 
parametre d' entree LO . 

En fait, la donnee c du premier tour, est une 
donnee derivee de la donnee a du premier tour. La 
10 donnee derivee c correspond a une simple permutation de 
bits de la donnee a. 

La donnee 1 du deuxieme tour est une donnee derivee 
de la donnee g du premier tour, car elle correspond a 
une permutation des bits du mot g, certains bits du mot 
15 g etant en outre dupliques. 

Connaissant a et g, on peut aussi connaitre ces 
donnees derivees. 

Les instructions critiques du debut de l'algorithme 
sont les instructions critiques qui manipulent soit la 
2 0 donnee que l'on peut predire, comme la donnee a du 
premier tour, soit une donnee derivee. 

Les instructions critiques manipulant la donnee a 
du premier tour Tl ou la donnee derivee c sont ainsi 
les instructions de fin de 1' operation SBOX , de 

2 5 1' operation P PERM et de debut de 1' operation XOR du 

premier tour Tl. 

Les instructions critiques manipulant la donnee g 
ou des donnees derivees sont toutes les instructions de 
de fin d' operation XOR de fin du premier tour Tl 

3 0 jusqu'aux instructions de debut d' operation SBOX du 

deuxieme tour T2, et de debut de 1' operation XOR en fin 
du troisieme tour T3 ( L2 = h(T2) = g(Tl) ). 

En fin d'algorithme DES, les donnees qui peuvent 
etre predites a partir d'un message chiffre C et d'une 
35 hypothese de sous-cle, sont la donnee a du seizieme 
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tour T16 et la donnee L15 egale au mot h du quatorzieme 
tour T14. 

Les instructions critiques manipulant la donnee a 
du seizieme tour ou des donnees derivees sont les 
instructions du seizieme tour de fin d' operation SBOX, 
de 1' operation de permutation P PERM et de debut 
d' operation XOR. 

Pour la donnee L15, les instructions critiques 
manipulant cette donnee ou des donnees derivees sont 
toutes les instructions depuis les instructions de fin 
d'operation XOR du quatorzieme tour T14 , jusqu'aux 
instructions de debut d' operation SBOX du quinzieme 
tour T15, plus les instructions de debut d' operation 
XOR du seizieme tour T16. 

Le procede de contre-mesure selon 1' invention 
applique a cet algorithme DES consiste a avoir, pour 
chaque instruction critique, autant de chances que 
1' instruction critique manipule une donnee que son 
complement* Ainsi, quel que soit le bit cible sur 
lequel 1'attaque DPA peut etre faite, on a autant de 
chances que les instructions critiques qui manipulent 
ce bit, manipulent un "l 11 ou un "0". 

En pratique, ceci doit etre vrai pour chacun des 
bits cibles potentiels : en d'autres termes, 
l'attaquant ayant le choix entre plusieurs attaques 
possibles, c'est a dire entre plusieurs fonctions de 
selection booleenne possibles pour effectuer son tri de 
courbes, pour une hypothese de sous-cle donnee, la mise 
en oeuvre du procede de contre-mesure selon 1' invention 
doit s'attacher a ce que les donnees manipulees par 
chacune des instructions critiques, prennent 
aleatoirement, une fois sur deux, une valeur ou son 
complement. En ce qui concerne 1 ' application du procede 
de contre-mesure selon 1' invention a 1' algorithme DES, 
il faut done appliquer la contre-mesure aux 
instructions critiques de debut de DES et aux 
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instructions critiques de fin de DES, pour etre 
totalement protege . 

Dans le DES, toutes les donnees manipulees par des 
instructions critiques sont une donnee de sortie ou des 
donnees derivees d'une donnee de sortie d'une operation 
SBOX. 

En effet, en debut de DES, les donnees qui peuvent 
etre predites sont les donnees a et g du premier tour 
Tl. La donnee a est la donnee de sortie de 1' operation 
SBOX du premier tour. La donnee g est calculee a partir 
de la donnee a, puisque g = P PERM (a) XOR LO . g est 
done une donnee derivee de la donnee de sortie a de 
1' operation SBOX du premier tour. Ainsi, toutes les 
donnees manipulees par les instructions critiques de 
debut de DES decoulent directement ou indirectement de 
la donnee de sortie a de I 7 operation SBOX du premier 
tour. 

En ce qui concerne la fin de DES, les donnees qui 
peuvent etre predites sont la donnee a du seizieme tour 
T16 et la donnee g du quatorzieme tour T14 , g etant 
egale a L15. 

La donnee a est la donnee de sortie de 1' operation 
SBOX du seizieme tour T16. 

Quant a la donnee LIS, elle se calcule, dans 
1' execution normale de 1 ' algorithme DES, a partir de la 
donnee de sortie a de 1' operation SBOX du quatorzieme 
tour T14 : L15 = P PERM (a) XOR L14 . 

Si on rend impredictibles les donnees de sortie a 
de ces operations SBOX particulieres , on rend aussi 
impredictibles toutes les donnees derivees : on rend 
done impredictibles toutes les donnees manipulees par 
les instructions critiques de 1' algorithme DES. Si on 
considere que ces operations SBOX constituent des 
premiers moyens pour fournir une donnee de sortie S=a a 
partir d'une donnee d' entree E=b, le precede de contre- 
mesure applique a l'algorithme DES consiste a utiliser 
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d'autres moyens pour rendre impredictibles la donnee de 
sortie, en sorte que cette donnee de sortie et/ou des 
donnees derivees manipulees par les instructions 
critiques soient toutes impredictibles. 

Selon 1' invention, on forme un groupe forme des 
trois premiers tours au moins et un autre groupe forme 
des trois derniers tours au moins. Ces groupes 
contiennent done tous les tours comprenant des 
instructions critiques . 

On associe a ces deux groupes une premiere sequence 
utilisant les premiers moyens pour tous les tours et 
une deuxieme sequence utilisant les autres moyens pour 
certains tours au moins. 

Dans les autres tours qui ne sont pas dans ces 
groupes, on peut continuer a utiliser les premiers 
moyens . 

L'utilisation de ces autres moyens est telle que le 
resultat en sortie, e'est a dire, le message chiffre 
reste juste. 

Ces autres moyens peuvent comprendre plusieurs 
moyens differents. lis sont tels qu'a 1'une et/ou 
1' autre donnee parmi les donnees d' entree et de sortie 
de premiers moyens, ils font correspondre la donnee 
complementee . 

Ainsi, considerant un grand nombre d' execution, les 
groupes utiliseront en moyenne une fois sur deux la 
premiere sequence, qui est la sequence normale de 
1'algorithme, et une fois sur deux 1' autre sequence. 
Les donnees manipulees par les instructions critiques 
dans ces groupes, correspondant a certains resultats 
intermediaires , seront done en moyenne complementees 
une fois sur deux. Sur un grand nombre de courbes on 
aura done statist iquement autant de chances qu'un bit 
cible donne soit a 1 ou a 0. 

jf> La figure 7 represente un premier mode de 

realisation de 1' invention. 
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Dans ce mode de realisation, on repartit les seize 
tours de 1 ' algorithme DES en quatre groupes Gl a G4 de 
quatre tours successifs. Le groupe Gl comprend ainsi 
les tours Tl a T4 , le groupe G2 , les tours T5 a T8 , le 
5 groupe G3 , les tours T9 a T12 et le groupe G4 , les 
tours T13 a T16. 

A chaque groupe, on associe deux sequences. Une 
premiere sequence SEQA consiste a utiliser les premiers 
moyens TC Q pour chaque tour. Une deuxieme sequence SEQB 
10 consiste a utiliser d'autres moyens pour certains tours 
au moins. 

Dans l'exemple represents, ces autres moyens 
comprennent des deuxiemes moyens TC 2 et des troisiemes 
moyens TC^. 

15 Les deuxiemes moyens TC 2 sont utilises dans le 

deuxieme tour et 1 ' avant-dernier tour de chaque 
groupe : c'est a dire, dans T2 , T3 de Gl, T6, T7 de G2 , 
T10, Til de G3 et T14 et T15 de G4 . 

Les troisiemes moyens TC^ sont utilises dans le 

20 premier tour et le dernier tour de chaque groupe. C'est 
a dire dans Tl, T4 de Gl, T5, T8 de G2 , T9 , T12 de G3 
et T13, T16 de G4 . 

En pratique, ces differents moyens sont des tables 
de constantes. les premiers moyens correspondent a la 

25 premiere table de constantes TCq, correspondant a 
1' execution normale du DES. Les autres moyens TC^ et 
TC 2 se definissent par rapport a cette premiere table 
de constantes TC Q , par complementation. 

Les deuxiemes moyens TC 2 sont tels que pour le 

30 complement /E de la donnee d'entree E, ils fournissent 
le complement de la donnee de sortie S des premiers 
moyens TC Q . Un exemple d'une deuxieme table elementaire 
TC 2 1 correspondant a la premiere table de constante 
elementaire TC Q 1 est represents sur la figure 9. On 

35 notera que la notation du complement /E utilisee dans 
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le texte, correspond la notation avec une barre au- 
dessus de la donnee complementee sur les dessins. 

Les troisiemes moyens sont tels que pour la donnee 
d' entree E, ils fournissent le complement /S de la 
donnee de sortie S des premiers moyens TC Q Un exemple 
d'une troisieme table elementaire TC-^l correspondant a 
la premiere table de constante elementaire TCqI est 
represents sur la figure 10. 

Le programme de calcul consiste alors au debut de 
1' execution de 1 ' algorithme , a tirer une valeur 
aleatoire RND1 egale a 0 ou a 1 , puis a tester cette 
valeur RND1. Dans 1 ' exemple, si RND1 vaut 1, on 
effectue le calcul en utilisant la deuxieme sequence 
SEQB pour chaque groupe Gl a G4 . 

Si RND1 vaut 0, on effectue le calcul en utilisant 
la premiere sequence SEQA pour chaque groupe. 

Que 1'on utilise la premiere ou la deuxieme 
sequence, on obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
les parametres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2 , L12 et R12 du troisieme 
groupe G3 , L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la sequence utilisee. 

Quand on a effectue tous les tours, on obtient les 
parametres justes L16 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par contre, a 1' inter ieur des groupes , certains 
resultats intermediaires n'ont pas les memes valeurs 
selon la sequence utilisee, mais des valeurs 
complementaires , comme on va le montrer par reference 
aux figures 3 et 8 . 

La figure 3 deja decrite correspond en fait a 
1 ' organigramme de calcul des quatre tours Tl, T2 , T3 et 
T4 du premier groupe Gl, dans la premiere sequence 
SEQA. 
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La figure 8 montre l'organigramme detaille des 
quatre tours Tl , T2 , T3 et T4 du premier groupe Gl, 
dans la deuxieme sequence SEQB. 

Dans cette deuxieme sequence, le tour Tl utilise 
5 les troisiemes moyens TC 1 . En sortie de 1' operation 
SBOX, on obtient done la donnee /a (Figure 8) , au lieu 
de la donnee a avec la premiere sequence SEQA (Figure 
3) . 

L' operation P PERM du tour Tl qui est une simple 
10 permutation va done egalement fournir en sortie une 
donnee complementee /c par rapport a la sequence SEQA. 

La donnee g qui est obtenue par un OU EXCLUSIF 
entre une donnee complementee /c et une donnee non 
complementee LO, va aussi fournir en sortie une donnee 
15 complementee /g. 

Ainsi, avec les troisiemes moyens du tour Tl on 
obtient toutes les donnees complementees suivantes, par 
rapport aux donnees qui seraient obtenues avec la 
sequence SEQA : 
20 - dans le tour Tl : /a, /c, /g; 

- dans le tour T2 : /Rl, /h, /I, /b; 

- dans le tour T3 : /L2. 

On arrive alors aux deuxiemes moyens TC 2 utilises 
dans le tour T2 . D'apres leur definition, en appliquant 

25 la donnee complementee /b, on obtient en sortie la 

donnee complementee /a. En conduisant ce raisonnement 
jusqu'a la fin du tour T4 , en remarquant qu'un OU 
EXCLUSIF entre deux donnees complementees donne un 
resultat non complements (par exemple /L3 XOR /c = g 

30 dans le tour T4 ) , on obtient en sortie du tour T4 , les 
donnees L4 , R4 non complementees. 

En outre, on constate que pour toutes les 
instructions critiques de debut de DES, les 
instructions critiques vont manipuler, de maniere 

35 aleatoire en fonction de la donnee RND1 , les donnees ou 
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leurs complements selon que la sequence executee est la 
premiere SEQA ou la deuxieme SEQB. 

Le precede de contre-mesure, dans ce premier mode 
de realisation est done tres interessant. II ne 
5 necessite que deux operations supplementaires , dans le 
programme de calcul du DES qui sont le tirage de la 
valeur aleatoire et le test de cette valeur. La memoire 
programme doit, elle, contenir les trois moyens 
differents utilises, e'est a dire les trois tables de 

10 constantes TC Q/ TC X , TC 2 . 

En revenant a la figure 7, on pourra noter, que 
l'on n'a pas besoin de contre-mesure dans les groupes 
du milieu G2 et G3 , puisqu'ils ne contiennent pas 
d' instructions critiques au sens attaque DPA. On 

15 pourrait done n'appliquer le precede de contre-mesure 
avec ses deux sequences SEQA et SEQB qu'au premier et 
au dernier groupe Gl et G4 . II suffirait d'appliquer 
systematiquement la premiere sequence SEQA aux groupes 
G2 et G3. 

20 Mais le fait de d'appliquer le procede de contre- 

mesure a tous les groupes donne une coherence a 
1' ensemble. 

Ainsi, on associe de preference les deux sequences 
SEQA et SEOB a chacun des groupes Gl a G4 . 

25 Un deuxieme mode de realisation du procede de 

contre-mesure selon 1' invention est represents sur la 
figure 11. Ce deuxieme mode de realisation est en fait 
une variante du premier. L'interet de cette variante 
est de n'utiliser comme autres moyens dans la sequence 

30 SEQB, que les deuxiemes moyens TC 2 . En effet, on a vu 
que les differents moyens TC Q/ TC lr TC 2 correspondent 
en pratique a des tables de constantes comprenant 
chacune huit tables de constantes elementaires , ce qui 
occupe un espace non negligeable en memoire programme. 

35 Cette variante consiste done a utiliser uniquement 

les deuxiemes moyens TC 2 dans la sequence SEQB. Pour 
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cela, on prevoit dans le programme de calcul des 
premiers et dernier s tours de chaque groupe, une 
operation supplementaire CP, pour complementer la 
donnee d' entree appliquee aux deuxiemes moyens. Cette 
5 operation supplementaire CP est en pratique un OU 

exclusif de la donnee d' entree avec des 1 logiques. Si 
on se reporte a la figure 12 representant 
1 ' organigramme detaille de la deuxieme sequence SEQB de 
calcul des quatre tours Tl a T4 du premier groupe Gl, 

10 il s'agit de complementer la donnee b avant de 

1'appliquer en entree de l'operation SBOX des tours Tl 
et T4 . Comme les deuxiemes moyens TC 2 complementent 
1' entree, 1' operation de complementation CP plus les 
deuxiemes moyens TC 2 equivalent aux troisiemes moyens 

15 TC 1 utilises dans le premier mode de realisation de 
1' invention, c'est a dire a une donnee non complementee 
en entree. 

Mais pour que le procede de contre-mesure selon ce 
deuxieme mode de realisation soit efficace, il faut que 

20 le nombre d ' instructions soit exactement le meme quel 

que soit la sequence de calcul utilisee. En effet si 
une difference quelconque existait entre les deux 
sequences SEQA et SEQB possibles, il y aurait alors une 
possibility d'attaque DPA fructueuse. 

2 5 Pour cette raison et comme represents sur la" figure 

13 , on prevoit dans les tours Tl et T4 de la premiere 
sequence SEQA, une operation ID de recopie a 
l'identique, qui consiste en un OU exclusif avec des O 
logiques en entree de 1' operation SBOX, pour ne pas 

30 modifier la donnee d' entree tout en appliquant les 
memes instructions que pour 1' operation supplementaire 
CP, 

De cette maniere, on a le meme nombre 
d' instructions dans les deux sequences. 
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La figure 14 represente un troisieme mode de 
realisation du procede de contre-mesure selon 
1 ' invention . 

Dans ce mode de realisation, on forme un premier 
5 groupe Gl avec les trois premiers tours Tl, T2 , T3 et 
un autre groupe G4 avec les trois derniers tours T14, 
T15, T16. On associe a chaque groupe une premiere 
sequence SEQA utilisant les premiers moyens TCq pour 
chaque tour et une deuxieme sequence utilisant d' autres 
10 moyens pour certains tours au moins. 

En sortie de chaque groupe Gl, G4 , on obtient le 
bon resultat en sortie L3 , R3 et L16, R16, quelle que 
soit la seqence SEQA ou SEQB utilisee. 

Les autres moyens sont dans l'exemple les 
15 troisiemes moyens TC^ deja vus en relation avec le 
premier mode de realisation et des quatriemes moyens 

TC 3. 

Ces quatriemes moyens TC 3 sont definis par rapport 
aux premiers moyens TCq comme faisant correspondre la 

20 donnee S de sortie, au complement /E de la donnee E 
d' entree. Une table de constantes elementaire TC 3 1 
correspondante est representee sur la figure 16. 

Pour les autres tours non compris dans les groupes, 
c'est a dire pour les tours T4 a T13, on applique les 

25 premiers moyens TCq. 

Ainsi, apres avoir tire la valeur aleatoire RND1 , 
on teste cette valeur pour determiner la sequence a 
appliquer au premier groupe, on continue en sortie avec 
les parametres L3 , R3 calcules, en executant les tours 

30 suivants avec les premiers moyens TC Q . En fin de tour 
T13 , on applique la sequence determinee par la valeur 
aleatoire RND1 au groupe G4 . On obtient les parametres 
L16, R16 qui vont servir a calculer le message chiffre 
C. 

35 La figure 15 est un organigramme detaille 

correspondant , pour la deuxieme sequence SEQB. 
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L16, R16 qui vont servir a calculer le message chiffre 
C. 

La figure 15 est un organigramme detaille 
correspondant , pour la deuxieme sequence SEQB. 

II apparalt clairement sur cet organigramme que 
1'on obtient des donnees coiuplementees (la 
complementation etant notee par une barre au-dessus de 
la donnee) pour toutes les instructions critiques de 
ces tours. Et les donnees L3 et R3 en sortie du 
troisieme tour ne sont pas complementees . On peut 
continuer 1' execution de 1 ' algor ithme , en passant au 
tour T4 auquel on applique les premiers moyens TC Q 
selon 1' execution normale de 1 ' algor ithme . 

Sur cette figure, on peut remarquer que dans 
1' operation SBOX du troisieme tour T3 , on pourrait 
utiliser les premiers moyens TC Q a la place des 
troisiemes moyens TC 1 , en prevoyant une operation 
supplementaire de complementation CP en sortie de 
l'operation SBOX. C est une solution equivalente. 

II faut alors faire correspondre a cette operation 
supplementaire de complementation dans la sequence 
SEQB , l'operation supplementaire de recopie a 
l'identique ID dans la sequence SEQA. 

La figure 17 represente un organigramme d' execution 
utilisant cette variante. Pour le troisieme tour des 
deux groupes Gl et G4 , on utilise dans la premiere 
sequence SEQA, les premiers moyens TC Q suivis en sortie 
de l'operation supplementaire ID de recopie, ce qui est 
note T3(TCq, ID). Dans la deuxieme sequence SEQB, on 
utilise pour le troisieme tour les premiers moyens TC Q 
suivis en sortie de l'operation supplementaire de 
complementation CP ce qui est note T3(TC Q/ CP). 

Ainsi, le deuxieme mode de realisation et cette 
variante du troisieme mode de realisation montrent 
l'utilisation d'operations supplementaires en entree ou 
en sortie des differents moyens. 
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entree ou en sortie des moyens utilises. A chaque 
operation supplementaire de complementation CP dans la 
deuxieme sequence correspond alors une operation 
supplementaire de recopie a 1'identique ID dans la 
premiere sequence SEQA. 

La presente invention s' applique a 1' algorithme de 
cryptographie a cle secrete DES, pour lequel plusieurs 
exemples d ' application non limitatifs ont ete decrits. 
II s ' applique plus generalement dans un algorithme de 
cryptographie a cle secrete a seize tours de calculs, 
dont les instructions critiques se situent parmi les 
instructions des trois premiers ou trois derniers 
tours - 

Un composant electronique 1 mettant en oeuvre un 
procede de contre-mesure selon 1' invention dans un 
algorithme de cryptographie a cle secrete DES, comprend 
typiquement, comme represents sur la figure 18, un 
microprocesseur HP, une memoire programme 2 et une 
memoire de travail 3, Pour pouvoir gerer 1 'utilisation 
des differents moyens TC Q , TC lf TC 2 selon 1' invention, 
qui sont, en pratique, des tables de constantes 
memorisees en memoire programme, des moyens 4 de 
generation d'une valeur aleatoire entre 0 et 1, sont 
prevus qui, si on se reporte aux organigrammes des 
figures 7 et 11, fourniront la valeur de RND1 a chaque 
execution du DES . Un tel composant peut tout 
particulierement etre utilise dans une carte a puce 5, 
pour ameliorer leur inviolabilite. 
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REVENDICATIONS 

1. Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete (K) pour calculer un 
message chif fre (C) a partir d'un message d'entree (M) , 

5 la mise en oeuvre de 1' algorithme comprenant seize 
tours de calcul (Tl, . ..,T16), chaque tour utilisant 
des premiers moyens (TC Q ) pour fournir une donnee de 
sortie a partir d'une donnee d'entree, la donnee de 
sortie et/ou des donnees derivees etant manipulees par 

10 des instructions critiques dans les trois premiers (Tl, 

T2 , T3) et les trois derniers tours (T14, T15, T16) , 
caracterise en ce que l'on forme un groupe (Gl) 
comprenant les trois premiers tours au moins et un 
autre groupe (G4) comprenant les trois derniers tours 

15 au moins, et en ce que l'on associe a chacun de ces 
groupes (Gl et G4 ) une premiere sequence (SEQA) 
utilisant les premiers moyens (TC Q ) dans chaque tour et 
une deuxieme sequence (SEQB) utilisant d'autres moyens 
(TC lr TC 2 / TC 3 ) dans certains tours au moins, les dites 

20 premiere et deuxieme sequences etant telles qu'elles 

fournissent un meme resultat en sortie du dernier tour 
de chaque groupe pour un meme message d' entree (M) 
donne, le choix de la sequence a executer dans les 
groupes concernes etant fonction d'une loi statistique 

25 de probability un demi , pour rendre impredictibles 

toutes les donnees manipulees par les dites 
instructions critiques . 

2. Procede de contre-mesure selon la revendication 
30 1, caracterise en ce que les autres moyens sont tels 

qu'ils complementent l'une et/ou 1' autre des donnees 
d'entree (E) et/ou de sortie (S) des premiers moyens. 
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3, Procede de contre-mesure selon la revendication 
2, caracterise en ce que la deuxieme sequence { SEQB) 
comprend pour un ou plusieurs tours une operation 
supplementaire de complementation (CP) en entree ou en 
sortie des moyens utilises, et en ce qu'a chaque 
operation supplementaire de complementation dans la 
deuxieme sequence correspond une operation 
supplementaire de recopie a l'identique (ID) dans la 
premiere sequence (SEQA) . 

4, Procede de contre-mesure selon 1'une quelconque 
des revendications precedentes, caracterise en ce que 
1'on forme quatre groupes (G1,...G4) de quatre tours 
successifs chacun (T1,...T4), en ce que l'on associe a 
chaque groupe la premiere sequence (SEQA) et en ce que 
l'on associe au moins au premier groupe (Gl) et au 
dernier groupe (G4) la deuxieme sequence (SEQB). 

5, Procede de contre-mesure selon la revendication 
4, caracterise en ce que la deuxieme sequence (SEQB) 
est associee a chacun des groupes (G1,«..G4). 

6* Procede de contre-mesure selon l'une quelconque 
des revendications 1 a 3, caracterise en ce que le 
premier groupe (Gl) est forme des trois premiers tours 
(Tl, T2, T3) et en ce que le dernier groupe est forme 
des trois derniers tours (T14 , T15, T16) . 

7. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
le choix de la sequence a executer se fait au debut de 
1' execution de l'algorithme par tirage d'une valeur 
aleatoire (RND1) , la sequence choisie etant celle 
utilisee dans chacun des groupes concernes. 
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8. Procede de contre-mesure selon l'une quelconque 
des revendications precedentes, caracterise en ce que 
les differents moyens sont des tables de constantes, 

9* Composant electronique de securite mettant en 
oeuvre le procede de contre-mesure selon l'une 
quelconque des revendications precedentes, caracterise 
en ce que les differents moyens (TC Q/ TC lr TC 2 ) pour 
fournir une donnee de sortie a partir d'une donnee 
d' entree sont fixes en memoire programme du dit 
composant et en ce qu'il comprend des moyens (4) de 
generation d'une valeur aleatoire (RND1) a 0 ou a 1 
pour gerer 1 9 utilisation des dits differents moyens, 

10. Carte a puce comprenant un composant 
electronique de securite selon la revendication 9. 
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RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR99/021 99 



I. Base du rapport 

1 . Ce rapport a §t§ redig§ sur la base des §l6ments ci-apres (les feui/les de remplacement qui ont 4te remises a 
I'office rScepteur en reponse a une invitation faite confprmement £ i'article 14 sont considerees dans le present 
rapport comme "initiaiement deposees" et ne sont pas jointes en annexe au rapport puisqu'elies ne contiennent 
pas de modifications (rdgles 70. 16et 70.17).) : 

Description, pages: 

1-25 version initiale 

Revendications, N°: 

1-10 version initiale 

Dessins, feuilles: 

1/13-13/13 version initiale 

2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preiiminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), I'examen preiiminaire internationale a ete effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement a I'administration, sous forme 6crite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par 6crit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a £t£ fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par 6crit, a §te fournie. 

4. Les modifications ont entraine Tannulation : 



55.3). 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont 6te considerees 
comme allant au-dela de I'expose de invention tel qu'il a 6te depose, comme il est indiqu£ ci-apres (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires, le cas Scheant : 



III. Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility d'application 
industrielle 

1 . La question de savoir si I'objet de ('invention revendiquee semble etre nouveau, impliquer une activity inventive 
(ne pas etre evident) ou etre susceptible d'application industrielle n'a pas ete examinee pour ce qui concerne : 

IS I'ensemble de la demande internationale. 
□ les revendications n os . 



parce que : 

□ ia demande internationale, ou les revendications n os en question, se rapportent a I'objet suivant, a regard 
duquel I'administration chargee de Pexamen preliminaire international n'est pas tenue effectuer un examen 
preliminaire international (pr6ciser) : 



E3 la description, les revendications ou les dessins (en indiquerles elements ci-dessous), ou les revendications 
n 08 en question ne sont pas clairs, de sorte qu'il n'est pas possible de formuler une opinion valable 
(preciser) : 
voir feuille separee 

□ les revendications, ou les revendications n os en question, ne se fondent pas de fagon adequate sur la 
description, de sorte qu'il n'est pas possible de formuler une opinion valable. 

□ il n'a pas ete §tabli de rapport de recherche internationale pour les revendications n os en question. 

2. Le listage des sequences de nucleotides ou d'acides amines n'est pas conforme a la norme prevue dans 
I'annexe C des instructions administratives, de sorte qu'il n'est pas possible d'effectuer un examen preliminaire 
international significatif: 

□ le listage presents par 6crit n'a pas et6 fourni ou n'est pas conforme & la norme. 

□ le listage sous forme d^chiffrable par ordinateur n'a pas et6 fourni ou n'est pas conforme k la norme. 
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VII. Irregularites dans la demande internationale 

Les irregularites suivantes, concernant la forme ou le contenu de la demande internationale, ont ete constatees : 
voir feuille separee 

VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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II est fait reference aux documents suivants: 

D1 : Yl X ET AL: 'A METHOD FOR OBTAINING CRYPTOGRAPHICALLY 
STRONG 8X8 S-BOXES' IEEE GLOBAL TELECOMMUNICATIONS 
CONFERENCE, PHOENIX, ARIZONA, NOV. 3 - 8, 1997, vol. 2, 3 novembre 
1997, pages 689-693, XP000737626 INSTITUTE OF ELECTRICAL AND 
ELECTRONICS ENGINEERS 

D2: MIYAGUCHI S: 'SECRET KEY CIPHERS THAT CHANGE THE 

ENCIPHERMENT ALGORITHM UNDER THE CONTROL OF THE KEY' NTT 
REVIEW, vol. 6, no. 4, 1 juillet 1994, pages 85-90, XP000460342 

D3: FR-A-2 672 402 (GEMPLUS CARD INT) 7 aout 1 992 

Concernant le point III : Absence de formulation d'opinion quant a la nouveaute, 
I'activite inventive et la possibility d'application industrielle 

Eu egard aux objections de clarte (Article 6 PCT) soulevees ci-dessus ('Administration 
chargee de I'Examen Preliminaire International considere qu'il n'est actuellement pas 
possible d'effectuer un examen quant a la nouveaute et a I'activite inventive des 
revendications 1-10: 

la revendication independante 1 souffrant de graves manques de clarte (voir point 
VIII.1); 

la revendication 9, tout en etant independante, contenant une reference au 
procede de la revendication 1 (voir VIII.2); 

les revendications 2-8 et 10 etant dependantes des revendications 1 et 9. 
Concernant le point VII : Irregularites dans la demande internationale 

1. En vue de remplir les conditions enoncees a la Regie 5.1 (a)(ii) PCT, le 

Demandeur aurait du citer et identifier dans la description les documents D1-D3 
ou autres documents representant I'etat de la technique tel qu'il le decrit a 
('introduction de la description (pages 1-8 et 11-15) et aurait du indiquer I'etat 
correspondant de la technique. 
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2. Des erreurs de frappe dans la demande sont remarquees: 

"execution" (page 17, ligne 25) aurait du etre remplacee par "executions"; 

"quel" (page 22, ligne 20) aurait du etre remplace par "quelle"; 

les lignes 1-4, page 24 et les lignes 1-5, page 25, auraient du etre supprimees. 

Concernant le point VIII: Observations relatives a la demande internationale 

1 . En ce qui concerne la revendication independante de procede 1 : 

1a. La revendication de procede 1 n'est pas claire en ce qu'elle ne contient pas toutes 
les caracteristiques techniques essentielles necessaires a la definition de 
invention, conformement aux exigences de I'Article 6 PCT pris en combinaison 
avec la Regie 6.3(b) PCT. 

En effet la revendication 1 ne precise pas comment les premiers (TCO) et les 
autres moyens (TC1, TC2, TC3) sont realises. Ces caracteristiques sont 
cependant essentielles, compte tenu de la description page 17. De plus, aucune 
autre solution n'est consideree, de sorte qu'une telle generalisation n'est pas 
supportee par la description. 

Ces caracteristiques auraient pu etre tirees des revendications dependantes 2, 3 
et 8. 

De plus, la revendication 1 ne precise pas comment et quand se fait le choix 
de la sequence a executer et il n'y a qu'une solution fournie dans la description 
(page 19, lignes 9-14). Cette caracteristique est done essentielle parce que, sans 
elle, les donnees derivees du procede de la revendication 1 ne seraient pas 
impredictibles. 

Cette caracteristique aurait pu etre tiree de la revendication dependante 7. 

Par ailleurs, la revendication 1 ne precise pas que le procede de contre-mesure 
s'applique a ralgorithme de cryptographie a cle secrete DES. Cependant, il 
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ressort clairement de la description que cette caracteristique est essentielle a la 
definition de I'invention parce que toute I'analyse du probleme d'une attaque DPA 
a un algorithme a cle secrete et sa solution est fondee sur cette caracteristique 
particuliere. 

Cette generalisation ne se fonde pas sur la description, comme I'exige I'Article 6 
PCT. 

Eu egard a la description page 25, lignes 6-13, il est juge utile de preciser a ce 
stade de la procedure que, selon les Directives PCT C-lll-6.5, "une revendication 
peut definir de fagon generale une caracteristique par rapport a sa fonction, 
meme lorsqu'un seul exemple de la caracteristique a ete donne dans la 

description En general, toutefois, si le contenu de la demande est tel qu'il 

conduit a penser qu'une fonction doit etre assuree d'une fagon determinee, sans 
evoquer la possibility de variantes, et si une revendication est formulee de telle 
fagon qu'elle englobe d'autres moyens ou tous les moyens d'assurer cette 
fonction, il y a lieu de faire objection. En outre, une insuffisance peut resulter du 
fait que la description se borne a indiquer en termes vagues que d autres moyens 
peuvent etre adoptes, s'il n'y en ressort pas clairement que ces autres moyens 
pourraient etre utilises et comment ils pourraient I'etre". 

En outre, la revendication 1 ne precise pas qu'il faut que le nombre 
destructions soit exactement le meme quelle que soit la sequence de 
calcul utilise. En effet si une difference quelconque existait entre les deux 
sequences possibles, il y aurait alors une possibility d'attaque DPA fructueuse. 

1b. Par ailleurs, la revendication 1 n'est pas claire (Article 6 PCT) en ce: 

qu'elle ne precise pas de quelle maniere les sequences SEQA et SEQB sont 
associees avec chacun des groupes G1 et G4; 

que les termes "donnees d'entree", "donnee de sortie", "donnees derivees" ne 
sont pas claires parce qu'il n'est pas possible de comprendre ou celles-ci entrent, 
d'ou sortent et d'ou sont derivees; 
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que le terme "instruction critique" n'a pas de signification bien etablie et reconnue 
et laisse un doute quant a la signification des caracteristiques techniques 
auxquelles il se refere. 

2. Les revendications 9 et 10 doivent etre considerees comme des revendications 
independantes. 

En effet, une revendication peut comporter une reference a une autre 
revendication sans pour cela etre une revendication dependante (voir Directives 
PCT, C-lll-3.8). 

En particulier une revendication se referant a une revendication d'une autre 
categorie (comme par exemple une revendication de dispositif se referant a une 
revendication de procede) est par definition une revendication independante (voir 
Directives PCT, meme paragraphe). 

Cependant, le fait qu'une revendication de dispositif fasse reference a la 
revendication de procede veut simplement dire que le dispositif convient pour la 
mise en oeuvre du dit procede, sans pour cela definir les moyens qui sont pour 
cela necessaires (voir aussi Directives PCT, C-lll-4.8). 

En fait, la revendication de dispositif 9 devrait contenir explicitement, meme si la 
reference aux revendications de procede 1-8 est maintenue, toutes les 
caracteristiques techniques essentielles (c.-a-d. toutes les caracteristiques 
structurelles) necessaires a la definition de I'invention (Article 6 en combinaison 
avec la Regie 6.3(b) PCT) et ne pas essayer a I'aide d'un renvoi aux 
revendications de procede 1-8, de les remplacer. 

Par principe, une revendication independante doit etre comprehensible par elle- 
meme sans avoir besoin de se referer a une autre revendication. 

La revendication 10, contenant I'objet de la revendication 9, ne pourra etre 
acceptable que dans le cas d'une revendication 9 acceptable. 
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Le present rapport de recherche internationale, etabli par I'administration chargee de la recherche internationale, est transmis au 
deposant conformement a Particle 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend 3 feuilles. 

PH H ©st aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite. 



1 . Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 

I I * a recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a ('administration. 

b. En ce qui concerne les sequences de nucleotides ou d'acldes amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 

| | contenu dans la demande internationale, sous forme ecrite. 

| | deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 

| | rem is ulterieurement a I'administration, sous forme ecrite. 

I | remis ulterieurement a Tadministration, sous forme dechiffrable par ordinateur. 

I I La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete foumie. 

I I La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete foumie. 

I I H a 6t6 estlm6 que certalnes revendlcatlons ne pouvalent pas falre I'objet d'une recherche (voir le cadre I). 
| | II y a absence d'unlte de ('Invention (voir le cadre II). 



2. 
3. 



4. En ce qui concerne le tltre, 

PH le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par I'administration et a la teneur suivante: 



En ce qui concerne I'abrege, 

|"y~| I© texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par I'administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un delai d'un mois a compter de la date d'expedition du present rapport 



de recherche internationale 
La figure des desslns a pubiier avec I'abrege est la Figure n° I 



PH suggeree par le deposant. Q Aucune des figures 

I I parce que le deposant n'a pas suggere de figure. n est k P UDlier - 

I I parce que cette figure caracterise mieux I'invention. 
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